Die US-Behörde National Institute of Standards and Technology (NIST) nimmt eine tiefgreifende Neuausrichtung der National Vulnerability Database (NVD) vor. Kuenftig wird NIST nur noch einen Teil der eingehenden CVE-Eintraege vollstaendig „anreichern“ – also mit CVSS-Bewertungen, Kategorisierung und zusaetzlicher Analytik versehen. Alle anderen Schwachstellen bleiben zwar sichtbar, erhalten aber von NIST kein automatisches Detail-Scoring mehr.
Hintergrund: Warum NIST die NVD-Strategie grundlegend aendert
Ausloeser fuer den Kurswechsel ist der drastische Anstieg der gemeldeten Schwachstellen. Laut NIST ist die Zahl der CVE-Eintraege zwischen 2020 und 2025 um 263 % gewachsen. Allein im Jahr 2025 wurden von NIST knapp 42 000 CVEs vollstaendig angereichert – rund 45 % mehr als in jedem anderen Jahr zuvor.
Die Dynamik nimmt weiter zu: In den ersten drei Monaten 2026 lag die Zahl neuer Schwachstellen fast ein Drittel ueber dem Vergleichszeitraum des Vorjahres. Ein vollstaendig manuelles, zentralisiertes Anreichern „jeder einzelnen CVE“ ist unter diesen Rahmenbedingungen selbst fuer eine grosse Bundesbehoerde nicht mehr skalierbar.
Der Schritt von NIST spiegelt eine Entwicklung wider, die Fachkreise seit Jahren beobachten: Die Branche verzeichnet dauerhaft mehr als zehntausende neue Schwachstellen pro Jahr, waehrend Personal, Budgets und Reaktionsfaehigkeit der Verteidiger nicht im gleichen Tempo wachsen. Ein reines Vollstaendigkeitsparadigma stoesst damit zwangslaeufig an seine Grenzen.
Neues risikobasiertes Modell: Fokus auf CVEs mit hoechstem Systemrisiko
Seit dem 15. April 2026 verfolgt die NVD offiziell einen risikoorientierten Priorisierungsansatz. NIST konzentriert seine Ressourcen auf CVEs, die ein maximales potenzielles systemisches und massenhaftes Schadenspotenzial besitzen. Priorisiert werden insbesondere Schwachstellen, die:
- grossflaechige Sicherheitsvorfaelle oder Angriffsketten ermoeglichen koennen,
- weit verbreitete Softwareprodukte, Plattformen oder Protokolle betreffen und
- einen signifikanten Beitrag zum nationalen oder globalen Cyberrisiko leisten.
CVE-Eintraege, die diese Huerden nach Einschaetzung von NIST nicht ueberschreiten, werden in der NVD nun mit dem Status „Not Scheduled“ gekennzeichnet – sie sind nicht zur Anreicherung eingeplant. Sie bleiben zwar in der Datenbank sichtbar, erhalten aber nicht automatisch eine CVSS-Bewertung oder weitergehende Kontextinformationen durch NIST.
Damit stellt NIST klar: Auch „nicht priorisierte“ Schwachstellen koennen fuer einzelne Organisationen kritisch sein, sie erzeugen jedoch aus Sicht der Behoerde kein vergleichbar hohes systemisches Risiko. Die Verantwortung, solche CVEs angemessen einzuordnen, verlagert sich damit staerker auf Unternehmen, Sicherheitsdienstleister und Tool-Hersteller.
Individuelle Anfragen: Wenn eine „Not Scheduled“-CVE kritisch ist
Fuer Faelle, in denen eine als „Not Scheduled“ markierte Schwachstelle fuer eine Organisation geschaeftskritisch ist, bietet NIST einen manuellen Eskalationsweg an. Betroffene Koerperschaften koennen eine Anfrage an nvd@nist[.]gov stellen und um Anreicherung einer konkreten CVE bitten. Solche Anfragen sollen einzeln geprueft und – bei entsprechender Relevanz – in die Bearbeitungs-Pipeline aufgenommen werden.
Statistische Befunde: Luecken in CVSS-Scores und Grenzen des manuellen Ansatzes
Die Analyse des Sicherheitsunternehmens VulnCheck zeigt, dass bereits im Jahr 2025 rund 10 000 Schwachstellen ohne CVSS-Bewertung in der NVD verblieben. NIST konnte demnach etwa 14 000 Eintraege des Typs „CVE-2025“ detailliert anreichern – nur rund 32 % aller CVEs des Jahres 2025.
Branchenvertreter sehen sich dadurch in einer Einschaetzung bestaetigt: Ein vollstaendig manuelles Anreichern saemtlicher neuer CVEs ist laengerfristig nicht tragfaehig. Angesichts der Menge und Geschwindigkeit neuer Schwachstellen sind verteilte, automatisierte und hochskalierbare Ansaetze sowohl bei der Identifikation als auch bei Bewertung und Priorisierung notwendig.
Auswirkungen auf Vulnerability Management, Audits und Compliance
Viele Unternehmen haben die NVD ueber Jahre als zentrale Referenzquelle fuer Schwachstellenmanagement, Audit-Nachweise und Compliance-Reports genutzt. Die Entscheidung von NIST, sich auf CVEs mit hohem systemischen Risiko zu fokussieren, markiert faktisch das Ende einer Aera, in der eine einzelne staatliche Datenbank als vollstaendiger, durchgaengig angereicherter Katalog aller Schwachstellen dienen konnte.
Fuer Sicherheitsverantwortliche bedeutet dies einen Paradigmenwechsel: Vulnerability Management muss sich von einer reinen CVSS-Listenbearbeitung hin zu einem proaktiven, Threat-Intelligence-gestuetzten Risikomanagement entwickeln. Ein CVE ohne NVD-Score darf nicht laenger als „minder wichtig“ interpretiert werden, sondern muss im Kontext der eigenen Infrastruktur, Exponierung und Angriffsszenarien bewertet werden.
Empfohlene Strategien fuer ein risikobasiertes Schwachstellenmanagement
Um unter den neuen Rahmenbedingungen widerstandsfaehig zu bleiben, sollten Organisationen ihr Vulnerability Management gezielt ausbauen und neu ausrichten. Wichtige Handlungsfelder sind:
- Staerkere Orientierung an der CISA Known Exploited Vulnerabilities (KEV)-Liste: Dieser Katalog dokumentiert Schwachstellen, die tatsaechlich in der Praxis ausgenutzt werden und bietet damit einen hochrelevanten Priorisierungsanker.
- Nutzung von Exploitabilitaetsmetriken und Kontextdaten: Anstatt ausschliesslich auf CVSS-Basiswerte zu schauen, sollten Informationen zu verfuegbaren Exploits, aktiven Angriffskampagnen, betroffenen Assets und Exponierung (z. B. aus dem Internet erreichbar) einbezogen werden.
- Kombination mehrerer Datenquellen: Neben der NVD sind Feeds von Sicherheitsanbietern, Threat-Intelligence-Plattformen, branchenspezifischen ISACs und Open-Source-Projekten wichtig, um ein moeglichst vollstaendiges Bild der Bedrohungslage zu erhalten.
- Automatisierung und Orchestrierung: Moderne Vulnerability-Management-Tools, SOAR-Plattformen und Security Data Lakes koennen helfen, CVE-Daten, Asset-Informationen und Angriffsindikatoren automatisiert zu korrelieren und priorisierte Massnahmenlisten zu generieren.
- Risikobasierte Patch-Prozesse: Patch-Management sollte sich an Geschaeftsauswirkungen, Exploit-Lage und Kritikalitaet der betroffenen Systeme orientieren – nicht an einer simplen Sortierung nach numerischem CVSS-Score.
Unternehmen, die ihre Prozesse jetzt auf ein eigenstaendiges, risikobasiertes und datengetriebenes Schwachstellenmanagement umstellen, koennen von der NVD-Neuausrichtung profitieren: Weniger Fokus auf formalistische Vollstaendigkeit, mehr Fokus auf tatsaechlich ausnutzbare Schwachstellen und reale Geschaeftsrisiken. Wer hingegen weiterhin ausschliesslich auf zentrale, manuelle Bewertungen wartet, laeuft Gefahr, kritische Luecken zu uebersehen – waehrend Angreifer ihre Operationen schon laengst auf Maschinen- und Automatisierungsgeschwindigkeit umgestellt haben.
